Yeni Microsoft Exchange istismar zinciri, fidye yazılımı saldırganlarının (CVE-2022-41080)

   Aralık 21, 2022  Posted in HelpnetSecurity


Fidye yazılımı kullanan saldırganlar, Microsoft Exchange sunucularında uzaktan kod yürütmeyi gerçekleştirmek için ProxyNotShell güvenlik açıklarından birini (CVE-2022-41082) içeren yeni bir yararlanma zinciri kullanıyor. ProxyNotShell istismar zinciri, Microsoft Exchange’in Autodiscover uç noktasındaki bir SSRF güvenlik açığı olan CVE-2022-41040’ı kullanırken, bu yeni zincir, Outlook Web Access (OWA) aracılığıyla ayrıcalık yükseltme elde etmek için CVE-2022-41080’i kullanıyor.

Crowdstrike araştırmacıları tarafından OWASSRF olarak adlandırılan istismar zinciri, yalnızca Kasım 2022’de yayınlanan Microsoft Exchange yamalarının uygulanmasıyla önlenebilir.

Microsoft’un yamalar hazır olmadan önce paylaştığı ProxyNotShell için URL yeniden yazma hafifletmelerinin bu yararlanma yöntemine karşı etkili olmadığını söylüyorlar ve yamayı uygulayamayan kuruluşları OWA’yı geçici olarak devre dışı bırakmaya teşvik ediyorlar.

CVE-2022-41080’e giden ipuçları

Araştırmacılar, ortak giriş vektörünün Microsoft Exchange olduğu Play fidye yazılımı izinsiz girişlerini araştırırken CVE-2022-41082’nin vahşi istismarını tespit ettiler.

Saldırganların ProxyNotShell istismar zincirinden yararlanmış olabileceğini düşündüler, ancak CVE-2022-41040’ın istismarına dair hiçbir kanıt bulamadılar. Bunun yerine, OWA uç noktası aracılığıyla yapılan POST isteklerini fark ettiler.

CVE-2022-41080

İki istismar zinciri arasındaki fark (Kaynak: Crowdstrike)

Bu arada, Huntress Labs tehdit araştırmacısı Dray Agha, yakalamak açık bir havuz aracılığıyla saldırı araçları ve bunların arasında bilinmeyen bir OWA istismar tekniğinden ve CVE-2022-41082 istismarından yararlanan bir PoC betiği vardı.

CrowdStrike araştırmacıları, yama uygulanmamış Exchange sistemlerine karşı OWASSRF açığını başarıyla devreye aldı, ancak saldırıyı yama uygulanmış sistemlerde tekrarlayamadı. Ve Kasım KB5019758 yaması bir DLL ele geçirme kusurunu ve CVSS puanı CVE-2022-41040 olan ve “sömürü olasılığı daha yüksek” olarak işaretlenmiş bir kusuru düzelttiğinden, “kullanılan OWA tekniğinin aslında bağlı olma olasılığının yüksek olduğunu” değerlendiriyorlar. CVE-2022-41080’e.”

CVE-2022-41080, son zamanlarda 360 Noah Lab ve VcsLab of Viettel Cyber ​​Security’den dört araştırmacının iki güvenlik açığından biridir. birleştirilmiş Şirket içi Exchange, Exchange Online ve Skype for Business Server üzerinde RCE’ye ulaşmak için. Bunları, CVE-2022-41080’i Kasım’da ve diğerini Aralık’ta düzelten Microsoft’a bildirdiler.

Crowdstrike araştırmacıları, “Bu yeni yararlanma yöntemiyle ilk erişimden sonra, tehdit aktörü erişimi sürdürmek için yasal Plink ve AnyDesk yürütülebilir dosyalarından yararlandı ve etkinliklerini gizlemek amacıyla Microsoft Exchange sunucusunda adli önleme teknikleri uyguladı.” riski azaltmak ve suistimal belirtilerini tespit etmek için tavsiyeler.





Source link